wordpressをインストールしたけど、セキュリティ設定がよくわからない。
いろんなサイトを見てるけど、結局何をやったらいいかわからない。
この気持ちわかります。
いろんなサイトでセキュリティ設定が紹介されてますが、
- なぜこのセキュリティ設定が必要なのか
- セキュリティ設定をしたら、どういう効果があるのか
がわからないことが多いですよね。
本記事ではなるべく効果的なWordPressのセキュリティ設定を説明します。
本記事を書いた僕は、
- インフラエンジニアとして20年以上のキャリア
- セキュリティの資格:情報処理安全確保支援士
- セキュリティ事故の解析経験
があります。
本記事の内容
・【簡単・図解】wordpressで効果的なセキュリティ設定
wordpressインストール後にセキュリティ設定が必要な理由
インターネットに関するセキュリティニュース等を見ていると、wordpressのセキュリティが心配になりますよね。
「wordpressでブログを公開」
することは、つまり、、
「インターネットにWebサイトを公開」
することになります。
自身のWebサイトをインターネットに公開する際に
最も重要なことは一言で表現すると次のようになります。
インターネットには様々なセキュリティリスクがあります。
自身のWebサイトを安全に管理していかないと
被害者になるだけではなく加害者にもなる可能性があります。
ーーーーーーーーーーーーーーーーーーーーー
セキュリティを考える上で「脆弱性」の理解が重要です。
これは、、
「ハッカーに攻撃される要因」
と考えるとわかりやすいと思います。
例えば以下のようなものが「脆弱性」になります。
- 安易なユーザIDやパスワードを使っていた。
- wordpressインストール後に何もセキュリティ設定をしていなかった。
- wordpressテーマやプラグインにバグがあるのに、バージョンアップを放置していた。
これらの脆弱性を悪用されると、、
自身のWordPressブログが攻撃され世界中にマルウェアを配布するサイトに書き換えられる可能性があります。
このため、WordPressインストール後にセキュリティ設定を実施していない場合は、見直しが必要です。
【簡単・図解】wordpressで効果的なセキュリティ設定
それでは、wordpressで簡単に設定ができ、効果的なセキュリティ設定について説明します。
事前準備
事前準備として、SSL設定とwordpressパスワードの再設定をします。
SSL設定
SSL設定については、有名ブロガーさんたちが「wordpressブログの始め方」と題してわかりやすく説明してくれているので、そちらを参照されてもOKです。
手順は以下となります。
1.レンタルサーバでSSL設定をする。
有名なレンタルサーバであれば、SSL設定に関する手順を用意してくれているので、手順に従って設定をしてみてください。参考までに、各レンタルサーバー会社のSSL設定のリンクを書いておきます。
・XSERVER(エックスサーバー)
▶ https://www.xserver.ne.jp/manual/man_server_ssl.php
・Conoha WING
▶ https://support.conoha.jp/w/letsencrypt/
・mixhost
▶ https://help.mixhost.jp/hc/ja/articles/115003735211
・ロリポップ!
▶ https://lolipop.jp/manual/user/ssl-free-order/
・カラフルボックス
▶ https://help.colorfulbox.jp/manual/free-ssl-use/
2.wordpressにログイン後、一般設定をクリックします。
3.URLの「http」の後に「s」を入力して保存します。
※入力は「s」を追記するだけです。
※「変更を保存」ボタンは画面の下のほうにあります。
以上でSSL設定は完了です。
パスワード再設定
いつものwordpress管理サイトにhttpsでアクセスして、パスワードの再設定をします。
手順は以下となります。
1.httpsでwordpress管理サイトにアクセスしてログインします。
例) https://サイトURL/wp-login.php
2.プロフィール画面を表示する。
3.プロフィール画面の「パスワードを生成する」ボタンをクリックする。
4.新しいパスワードを入力し、「プロフィールを更新」ボタンをクリックする。
※パスワードは、8文字以上で英数字と記号を含むようにしましょう。
※「プロフィールを変更」ボタンは画面の下のほうにあります。
【設定1】メタ情報の削除
wordpressインストール後はウィジェットにメタ情報が表示されています。このメタ情報があると、誰でも管理画面に容易にアクセスできてしまうので削除しましょう。
手順は以下となります。
1.wordpressにログインしてウィジェット画面を表示する。
2.画面右側にある「サイドバースクロール追従」の「▼」をクリックする。
3.メタ情報の「▼」をクリックする。
4.「削除」をクリックする。
メタ情報の削除は以上となります。
【設定2】wordpress管理サイトへの不正アクセス防止設定
wordpress管理サイトに不正アクセスされてしまうと、コンテンツを改ざんされ、マルウェアのような不正プログラムを埋め込まれてしまいます。
これを防止する方法としては、
- 国外からのアクセスをブロック
- SiteGuard WP Pluginを導入
が効果的です。
両方実施することをおすすめします。
国外からのアクセスをブロック
不正アクセスの大半は国外からです。これをブロックする設定は、レンタルサーバーの管理サイトで簡単に設定ができます。
例として、XSERVER(エックスサーバー)の設定手順は以下になります。
1.XSERVERのサーバパネルにログインして、WordPressセキュリティ設定をクリックする。
2.自身のブログサイトの独自ドメインを選択します。
3.国外IPアクセス制限設定の画面ですべてONに設定します。
以上となります。これで国外からのアクセスはブロックされます。
※例として、XSERVERを書きましたが、他のレンタルサーバー会社でも同じ設定ができます。
SiteGuard WP Pluginを導入
WordPressプラグインに「SiteGuard WP Plugin」というプラグインがあり、WordPress管理サイトのセキュリティを高くすることができます。
具体的に言うと、以下のハッカー攻撃から守ることができます。
- ブルートフォース攻撃(パスワード総当り攻撃)
- パスワードリスト攻撃
ブルートフォース攻撃は別名のとおり、よく使用されるパスワードリストをすべて試行される攻撃です。
パスワードリスト攻撃は、他サイトで使用しているパスワードが流出し、同じパスワードまたは類似のパスワードを試行される攻撃です。
これらの攻撃から自身のブログサイトを守るための設定手順は以下となります。
1.WordPressにログインし、「プラグイン」の「新規追加」をクリックします。
2.「SiteGuard WP Plugin」を検索し、インストールします。
3.「SiteGuard WP Plugin」を有効にします。
4.プラグイン一覧画面が表示されるので、「新しいログインページURL」をクリックします。
5.新しいログイン画面のURLをお気に入りに追加して、下図のようにログインします。
6.WordPressメニューにある「SiteGuard」をクリックします。
7.管理ページアクセス制限をクリックします。
8.管理ページアクセス制限を「ON」にすて「変更を保存」をクリックします。
以上で、「SiteGuard WP Plugin」の設定は完了です。
ここまでの設定でWordPress管理サイトに不正アクセスされて、自身のブログサイトが改ざんされる可能性は低くなりました。
但し、公開しているWebコンテンツの脆弱性を悪用されることについては、まだ対策ができていません。次章でその対策について説明します。
【設定3】レンタルサーバーの管理サイトでWAFを有効にする
本記事の最後の対策として、WAFについて説明します。
WAFはWeb Application Firewallの略で、公開しているWebコンテンツの脆弱性についてセキュリティを向上してくれる機能です。
例として、XSERVER(エックスサーバー)の設定手順は以下になります。
1.エックスサーバーのサーバパネルにログインし、「WAF設定」をクリックします。
2.WAFの機能をすべて「ON」にして「確認画面へ進む」をクリックします。
3.確認画面で保存をして完了です。
※WAFについては、有名なレンタルサーバー会社であれば、標準提供されています。各レンタルサーバー会社のWAFの概要については以下の記事にまとめています。
本記事は以上となります。
wordpressでブログをこれから始める人や、すでに始めているけどセキュリティ対策を何も実施していない人は是非、本記事を読んで必要最低限のセキュリティ設定を実施してみてください。
この記事が気に入っていただけたらフォローお願いします!
